EFS 暗号化されたファイル(南京錠のアイコンが追加ついたファイル)を開こうとすると、以下のメッセージが表示されて開けないことがあります。
“アクセスが拒否されました”
南京錠のマークがついたファイルは、EFS という機能で暗号化されたファイルです。
このファイルを開くには、暗号化に使用した EFS 証明書が秘密キー付きでインストールされている必要があります。
何等かの理由で EFS 証明書が損失してしまった場合、EFS 証明書を回復しない限りファイルを開くことができません。
EFS の仕組みや EFS 証明書の回復方法については、以下の記事で紹介しております。
EFS (Encrypting File System) とは、Windows OS 標準で利用可能な機能で、ファイルやフォルダを暗号化してセキュリティ保護することができます。 EFS 暗号化ファイル システムでは、公開鍵暗号化方式と共通[…]
ファイルを EFS 暗号化した時に、画面の右下に以下のような通知が表示されることがあります。 ファイル暗号化キーのバックアップ これにより、暗号化されたファイルに永久にアクセスできなくなることを防ぎます。 これは […]
EFS 証明書を回復する場合は、EFS 証明書のエクスポート ファイルが必要となっております。
もし EFS 証明書のエクスポート ファイルをバックアップしていない場合は、ファイルを開くことができなくなります。
万一、EFS 暗号化したファイルが開けなくなってしまった場合の対処方法として、回復エージェント証明書を利用することで暗号化を解除することができます。
今回は、EFS 回復エージェント証明書を利用して、EFS 暗号化ファイルの暗号化を解除する方法を紹介します。
EFS 暗号化解除の一連の作業は、同じ端末上で同一ユーザーで行ってください。
EFS 回復エージェント証明書の確認
EFS 暗号化されたファイルに設定されている回復エージェント証明書の拇印の情報を確認します。
1) 開けなくなった EFS 暗号化ファイルを保存している端末上にログオンします。
2) コマンド プロンプトを開きます。
3) cd コマンドを利用して EFS 暗号化ファイルが存在するフォルダに移動します。
4) 以下のコマンドを実行して、EFS 暗号化ファイルのメタデータを確認します。
cipher /c
実行結果の “回復証明書” の項目を確認します。
この項目の “証明書の拇印” が 回復エージェント証明書の拇印となります。
※ 回復エージェント証明書は、ドメイン管理者が管理しております。
EFS 暗号化ファイルの回復を行う場合は、回復エージェント証明書の拇印の情報をもって管理者に問い合わせて、エクスポート ファイル(秘密キー付き)を入手してください。
回復証明書エージェントのインストール
1) 開けなくなった EFS 暗号化ファイルを保存している端末上にログオンします。
2) ドメイン管理者から入手した回復エージェント証明書のエクスポート ファイルを任意のフォルダに保存します。
3) エクスポート ファイルをダブルクリックして、[証明書のインポート ウィザードの開始] を開きます。
[保存場所] に [現在のユーザー] が選択されていることを確認して、[次へ] をクリックします。
4) [インポートする証明書ファイル] にて、[ファイル名] に回復エージェント証明書のエクスポート ファイルのパスが入力されていることを確認し、[次へ] をクリックします。
5) [秘密キーの保護] にて、[パスワード] に回復エージェント証明書の秘密キー付きでインストールすために必要なパスワードを入力して(パスワードは管理者に確認しましょう)、[次へ] をクリックします。
6) [証明書ストア] にて、[証明書をすべて次のストアに配置する] にて “個人” を指定して [次へ] をクリックします。
7) [証明書のインポート ウィザードの完了] にて、[完了] をクリックします。
8) [正しくインポートされました。] と表示されたら [OK] をクリックします。
9) EFS 回復エージェント証明書が秘密キー付きでインストールできたら、EFS 暗号化ファイルが開けるようになることを確認します。
EFS 暗号化の解除
回復エージェント証明書は、EFS 暗号化解除できなくなったファイルを回復させるための証明書です。
そのため、開けなくなった EFS 暗号化ファイルの暗号化解除の目的のために、一時的に作業ユーザーに回復エージェント証明書をインストールして、EFS 暗号化の解除を行います。
1) 対象の EFS 暗号化ファイルを右クリックして、[プロパティ] をクリックします。
2) プロパティ画面にて、[詳細設定] をクリックします。
3) [属性の詳細] にて、[内容を暗号化してデータをセキュリティで保護する] のチェックボックスを無効にして、[OK] をクリックします。
4) [プロパティ画面] にて、[適用] をクリックします。
5) EFS 暗号化が解除されたことを確認します。
EFS 回復エージェント証明書の削除
回復エージェント証明書は、EFS 暗号化解除できなくなったファイルを回復させるための証明書です。
あるユーザーが、秘密キー付きで回復エージェント証明書をインストールしている状態であると、ドメイン内の全ての EFS 暗号化ファイルを開くことができてしまいます。
(本来であれば、EFS 証明書を保持するユーザーのみが EFS 暗号化を開ける状態であるべきものです)
繰り返しとはなりますが、回復エージェント証明書は EFS 暗号化を解除できなくなったファイルを回復する目的のみに使用する証明書となりますので、EFS 暗号化を解除したら証明書は必ず削除してください。
1) Windows キーを押した状態で R キーを押し、[ファイル名を指定して実行] を開いて certmgr.msc と入力して [OK] をクリックします。
2) 画面の左ペインより、[証明書 – 現在のユーザー] – [個人] – [証明書] を選択して、画面の左ペインより、暗号化解除作業のためにインストールした回復エージェント証明書を右クリックして [削除] をクリックします。
3) “この証明書を使って暗号化されたデータを読み取ることはできません。この証明書を削除しますか?” というメッセージが表示されたら、[はい] をクリックします。
4) [個人] の証明書ストアから、EFS 回復エージェント証明書が削除されたことを確認します。
